張雪　邢磊

[摘要]隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為很現(xiàn)實(shí)的問(wèn)題，不僅造成了不可估量的經(jīng)濟(jì)損失，而且成為網(wǎng)絡(luò)技術(shù)廣泛使用的一個(gè)障礙。高校校園網(wǎng)因其自身的特點(diǎn)，安全問(wèn)題尤為突出。重點(diǎn)對(duì)高校校園網(wǎng)存在的安全隱患與問(wèn)題進(jìn)行調(diào)查和研究，并對(duì)高校校園網(wǎng)的安全技術(shù)與優(yōu)化策略進(jìn)行了介紹和探討。

[關(guān)鍵詞]校園網(wǎng)絡(luò)；安全分析；防范措施

[中圖分類號(hào)]TN915.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1672-5158（2013）06-0355-02

引言

校園網(wǎng)是高校教育信息化的重要基礎(chǔ)設(shè)施，在高校的教學(xué)、科研、管理和生活服務(wù)中起著越來(lái)越重要的作用。高等院校在不斷擴(kuò)大校園建設(shè)、加強(qiáng)辦學(xué)條件的同時(shí)，為適應(yīng)現(xiàn)代教育的發(fā)展和要求，也逐步開(kāi)始自身校園網(wǎng)的建設(shè)和應(yīng)用。與此對(duì)應(yīng)，校園網(wǎng)的安全面臨著巨大的挑戰(zhàn)，如何管理好校園網(wǎng)，保障校園網(wǎng)安全、穩(wěn)定的運(yùn)行，是各院校校園網(wǎng)管理人員必須認(rèn)真面對(duì)的問(wèn)題。

1 校園網(wǎng)絡(luò)安全的現(xiàn)狀分析

1.1 采用開(kāi)放的網(wǎng)絡(luò)環(huán)境

由于教學(xué)和科研的特點(diǎn)決定了校園網(wǎng)絡(luò)環(huán)境應(yīng)該是開(kāi)放的，管理也是較為寬松的。在企業(yè)網(wǎng)環(huán)境中可以限制Web瀏覽站點(diǎn)和用戶的網(wǎng)絡(luò)流量，甚至限制外部發(fā)起的連接不允許進(jìn)入防火墻，但是在校園網(wǎng)環(huán)境下通常是行不通的，至少在校園網(wǎng)的主干不能實(shí)施過(guò)多的限制，否則一些新的應(yīng)用、新的技術(shù)很難再校園網(wǎng)內(nèi)部實(shí)施。面對(duì)這種開(kāi)放的網(wǎng)絡(luò)環(huán)境，安全管理的難度很大，面臨的挑戰(zhàn)也很突出，在所有的局域網(wǎng)中校園網(wǎng)所面對(duì)的環(huán)境最為復(fù)雜。

1.2 存在操作系統(tǒng)或軟件漏洞

由于校內(nèi)終端用戶對(duì)計(jì)算機(jī)認(rèn)知能力存在差異，有些用戶不知如何為系統(tǒng)更新安全補(bǔ)丁，有些則是沒(méi)有隨時(shí)更新補(bǔ)丁的習(xí)慣，造成校園內(nèi)大部分計(jì)算機(jī)系統(tǒng)都存在不同程度的安全漏洞，而目前網(wǎng)絡(luò)上的很多新型病毒和攻擊手段大部分都是針對(duì)操作系統(tǒng)漏洞攻擊并傳染的；另外校內(nèi)師生在網(wǎng)上隨意下載的軟件中可能攜帶隱藏的木馬、后門等惡意代碼，導(dǎo)致系統(tǒng)運(yùn)行緩慢，這些軟件也可能被攻擊者所利用。

1.3 擁有活躍的用戶群體

校園網(wǎng)用戶的主體是高校學(xué)生，這個(gè)年輕群體的上網(wǎng)行為相當(dāng)活躍，由之帶來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)也十分嚴(yán)峻。一方面若學(xué)生瀏覽不良網(wǎng)站、下載經(jīng)過(guò)偽裝的惡意軟件等網(wǎng)絡(luò)行為都可能將木馬、蠕蟲、病毒等程序帶人校園網(wǎng)，并且大多數(shù)學(xué)生不懂如何防范病毒和處理病毒，校園網(wǎng)一旦受到安全威脅，能很快地在校園網(wǎng)內(nèi)蔓延，并且大面積出現(xiàn)相同的癥狀，嚴(yán)重時(shí)會(huì)造成校園網(wǎng)的癱瘓。另一方面學(xué)生對(duì)網(wǎng)絡(luò)新技術(shù)具有強(qiáng)烈的好奇心，為了滿足好奇心而勇于嘗試在網(wǎng)上學(xué)到的各種攻擊技術(shù)，對(duì)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)進(jìn)行攻擊，給校園網(wǎng)的安全工作增加了難度。

1.4 網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為

校園網(wǎng)與互聯(lián)網(wǎng)相連，在享受方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。借助網(wǎng)絡(luò)上泛濫的“傻瓜式”的攻擊軟件，外網(wǎng)非法用戶即使不具備任何計(jì)算機(jī)技術(shù)也可對(duì)校園網(wǎng)進(jìn)行肆無(wú)忌憚的攻擊。例如通過(guò)注入漏洞檢測(cè)工具對(duì)WEB服務(wù)器進(jìn)行數(shù)據(jù)庫(kù)注入式攻擊，造成學(xué)院網(wǎng)站主頁(yè)被篡改、數(shù)據(jù)被破壞等惡果。

1.5 校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜

校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)的購(gòu)置和管理情況非常復(fù)雜。學(xué)生宿舍中的電腦一般是學(xué)生自己花錢購(gòu)買、自己維護(hù)。院系各個(gè)單位或者是統(tǒng)一采購(gòu)，有技術(shù)人員負(fù)責(zé)維護(hù)或者是教師自助購(gòu)買、沒(méi)有專人維護(hù)。在這種情況下，要求所有的端系統(tǒng)實(shí)施統(tǒng)一的安全策略（比如安裝防病毒軟件、設(shè)置可靠的口令）是非常困難的。由于沒(méi)有統(tǒng)一的資產(chǎn)安全管理和設(shè)備安全管理，出現(xiàn)安全問(wèn)題后通常無(wú)法分清責(zé)任。更有些計(jì)算機(jī)甚至服務(wù)器系統(tǒng)建設(shè)完畢之后無(wú)人管理，甚至被攻擊者攻破作為攻擊的跳板，變成攻擊實(shí)驗(yàn)床也無(wú)人察覺(jué)。

1.6 安全專項(xiàng)資金投入少和技術(shù)人員缺乏

大多數(shù)高職院校將經(jīng)費(fèi)主要投入到校園網(wǎng)絡(luò)的規(guī)模建設(shè)上，往往對(duì)保證網(wǎng)絡(luò)安全的軟硬件設(shè)備不夠重視，未能架構(gòu)起行之有效的網(wǎng)絡(luò)安全體系。

網(wǎng)絡(luò)安全是當(dāng)今較前沿的計(jì)算機(jī)技術(shù)，需要較強(qiáng)的實(shí)踐能力和豐富的現(xiàn)場(chǎng)經(jīng)驗(yàn)。高校一般沒(méi)有設(shè)置專門的網(wǎng)絡(luò)安全技術(shù)人員，現(xiàn)有的網(wǎng)絡(luò)管理人員多只具備組網(wǎng)管理技術(shù)，卻缺乏處理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的技術(shù)與經(jīng)驗(yàn)，難以應(yīng)付復(fù)雜多變的網(wǎng)絡(luò)安全問(wèn)題。

2 校園網(wǎng)絡(luò)安全防護(hù)解決方案設(shè)計(jì)及對(duì)策

2.1 網(wǎng)絡(luò)安全設(shè)備的使用

2.1.1 防火墻

網(wǎng)絡(luò)防火墻是指設(shè)置在計(jì)算機(jī)網(wǎng)絡(luò)之間的一道隔離裝置，可以隔離兩個(gè)或者多個(gè)網(wǎng)絡(luò)、限制網(wǎng)絡(luò)互訪，以保護(hù)網(wǎng)絡(luò)用戶的安全。為了勝任安全防護(hù)的重任，防火墻自身具有非常強(qiáng)的抗攻擊能力和免疫力，網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)包都必須經(jīng)過(guò)防火墻過(guò)濾，只有符合相應(yīng)安全策略的數(shù)據(jù)包才可以通過(guò)防火墻。

基于以上特性，防火墻一般部署在內(nèi)網(wǎng)與外網(wǎng)之間，在網(wǎng)絡(luò)邊界處充當(dāng)一個(gè)檢查點(diǎn)，以此作為安全保障體系的第一道防線，防御黑客攻擊。從性能方面考慮，首選硬件防火墻，由于硬件防火墻的硬件和軟件都單獨(dú)進(jìn)行設(shè)計(jì)，由專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包，同時(shí)采用專門的操作系統(tǒng)平臺(tái)，從而避免通用操作系統(tǒng)的安全性漏洞。并且其對(duì)軟硬件有特殊要求，因此擁有高吞吐量、安全與速度兼顧的優(yōu)點(diǎn)。但是選購(gòu)硬件防火墻時(shí)需要注意的是，盡管許多網(wǎng)絡(luò)防火墻都號(hào)稱是硬件防火墻，并且硬件連同軟件一起銷售，但并沒(méi)有自己獨(dú)立的操作系統(tǒng)，只是基于x86計(jì)算機(jī)架構(gòu)和開(kāi)放的Linux/UNIX操作系統(tǒng)，以及一套自己開(kāi)發(fā)的網(wǎng)絡(luò)防火墻軟件，其從根本意義上講，仍然是軟件防火墻。

在校園網(wǎng)入口處部署防火墻并不能發(fā)現(xiàn)和防止校園網(wǎng)內(nèi)部針對(duì)核心服務(wù)器發(fā)起的攻擊，因此若條件允許，還可以建立多級(jí)防火墻來(lái)進(jìn)一步保護(hù)校內(nèi)的應(yīng)用服務(wù)器群和數(shù)據(jù)庫(kù)服務(wù)器群。

2.1.2 入侵防御系統(tǒng)

隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，傳統(tǒng)的防火墻只能對(duì)三層或四層進(jìn)行檢查，不能檢測(cè)應(yīng)用層的內(nèi)容，因此單純通過(guò)部署防火墻已經(jīng)無(wú)法滿足校園網(wǎng)的安全需要。入侵防御系統(tǒng)（IPS）的設(shè)計(jì)基于一種全新的思想和體系架構(gòu)，工作于串聯(lián)方式，采用ASIC等硬件設(shè)計(jì)技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲，檢測(cè)引擎綜合特征檢測(cè)、異常檢測(cè)、DoS/DDoS檢測(cè)、緩沖區(qū)溢出檢測(cè)等多種手段，并使用硬件加速技術(shù)進(jìn)行深層數(shù)據(jù)包分析處理，能高效、準(zhǔn)確的檢測(cè)和防御已知或未知的攻擊，并實(shí)施多種響應(yīng)方式，如丟棄數(shù)據(jù)包、終止會(huì)話、修改防火墻策略、實(shí)時(shí)生成警報(bào)和日志記錄等，突破了以往IDS只能檢測(cè)不能防御入侵的局限性，提供了一個(gè)較完整的入侵防護(hù)解決方案。

傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過(guò)，因此防火墻對(duì)于很多入侵攻擊仍然無(wú)計(jì)可施，而絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，不是主動(dòng)的。也就是說(shuō)，在攻擊實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)IPS則傾向于提供主動(dòng)防御，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。

IPS之所以能夠?qū)崿F(xiàn)實(shí)時(shí)檢查和阻止入侵，在于IPS擁有數(shù)目眾多的過(guò)濾器，能夠防止各種攻擊。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會(huì)創(chuàng)建一個(gè)新的過(guò)濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用二層至七層的漏洞發(fā)起攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。

IPS常常以串聯(lián)方式部署在出口處，抵御來(lái)自外網(wǎng)的入侵威脅。若來(lái)自校園網(wǎng)內(nèi)部的入侵風(fēng)險(xiǎn)也較高，可以在靠近服務(wù)器群的位置處布置IPS，以增強(qiáng)校園網(wǎng)整體入侵防御的能力。

根據(jù)我們的使用經(jīng)驗(yàn)，IPS最好分階段、有步驟地部署實(shí)施。

第1階段：檢測(cè)，但不防御。

IPS以串聯(lián)方式工作，只進(jìn)行檢測(cè)，不阻斷數(shù)據(jù)流，但它會(huì)將不符合協(xié)議的數(shù)據(jù)包丟棄，確保通過(guò)的數(shù)據(jù)包都是合乎規(guī)范的，是插入和規(guī)避類攻擊無(wú)從得手。在這個(gè)階段IPS的主要任務(wù)是適應(yīng)環(huán)境，在保護(hù)校園網(wǎng)絡(luò)和應(yīng)用的同時(shí)不會(huì)產(chǎn)生新的麻煩，同時(shí)也是管理員熟悉并了解IPS檢測(cè)機(jī)制的一個(gè)過(guò)程。

第2階段：檢測(cè)，并有選擇地防御。

當(dāng)串聯(lián)方式被證明合適后，管理員就可以根據(jù)報(bào)警日志確定入侵檢測(cè)策略的有效性，先選擇一些最嚴(yán)重的報(bào)警，確保沒(méi)有誤報(bào)，然后對(duì)該類型的特征實(shí)施阻斷相應(yīng)。在此階段，IPS檢測(cè)攻擊檢測(cè)共計(jì)并有選擇的防御，只將有明顯危害的攻擊流阻斷。

第3階段：檢測(cè)，并全面防御。

在確認(rèn)了IPS的有效性并且安全策略經(jīng)過(guò)不斷的調(diào)整優(yōu)化之后，管理員就可以為所有入侵特征設(shè)置響應(yīng)方式，從而使IPS進(jìn)入全面的防御工作模式，一旦發(fā)現(xiàn)有害數(shù)據(jù)包就將其丟棄并阻斷隨后的數(shù)據(jù)流。

2.2 構(gòu)建全方位的漏洞與病毒防護(hù)體系

2.2.1 架設(shè)微軟更新服務(wù)器

校園網(wǎng)內(nèi)絕大多數(shù)電腦都是使用了微軟的操作系統(tǒng)，而目前網(wǎng)絡(luò)上相當(dāng)比例的惡意攻擊都是在利用操作系統(tǒng)的設(shè)計(jì)缺陷展開(kāi)的，這些缺陷或錯(cuò)誤可以被不法者或電腦黑客利用，通過(guò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，進(jìn)而會(huì)威脅到整個(gè)校園網(wǎng)的安全。因此及時(shí)更新操作系統(tǒng)的漏洞補(bǔ)丁，已成為提高系統(tǒng)安全性的主要手段。

通常系統(tǒng)自帶的Windows Update功能都是自動(dòng)連接到MicrosoftUpdate來(lái)下載更新補(bǔ)丁，但是在校園網(wǎng)環(huán)境下，會(huì)帶來(lái)以下問(wèn)題：

（1）校園網(wǎng)客戶端數(shù)量眾多，更新操作會(huì)占用學(xué)校較多的出口帶寬資源。

（2）部分電腦存在平時(shí)不接入互聯(lián)網(wǎng)的情況，無(wú)法及時(shí)獲取最新的漏洞補(bǔ)丁。

（3）部分使用者不重視補(bǔ)丁程序的重要性，即使出現(xiàn)更新提示，也不主動(dòng)更新。

基于以上原因，有必要在校內(nèi)建設(shè)專用的微軟更新服務(wù)器。目前微軟提供免費(fèi)的補(bǔ)丁分發(fā)方案WSUS（Windows Server Update Services），在Windows Server 2003平臺(tái)下需要安裝WSUS 3.0 sp2來(lái)添加該項(xiàng)功能，在Windows Server 2008和Windows Server 2012平臺(tái)下，已經(jīng)內(nèi)置了WSus組件功能。該方案支持微軟公司全部產(chǎn)品的更新，包含Windows、Office、SQL Server等內(nèi)容。通過(guò)WSUS這個(gè)內(nèi)部網(wǎng)絡(luò)中的Windows升級(jí)服務(wù)，所有Windows更新都集中下載到內(nèi)部網(wǎng)的WSUS服務(wù)器中，而校園網(wǎng)中的客戶機(jī)通過(guò)WSUS服務(wù)器來(lái)得到更新。這在很大程度上節(jié)省了網(wǎng)絡(luò)資源，避免了外部網(wǎng)絡(luò)流量的浪費(fèi)并且提高了內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)更新的效率。此外，還能通過(guò)制訂相應(yīng)更新策略來(lái)控制客戶端的更新方式，以此達(dá)到強(qiáng)制更新的目的。

通常情況是在校園網(wǎng)環(huán)境中部署一臺(tái)WSUS服務(wù)器，當(dāng)網(wǎng)絡(luò)規(guī)模很大且一臺(tái)WSUS服務(wù)器無(wú)法滿足需求時(shí)，可以使用多臺(tái)服務(wù)器進(jìn)行補(bǔ)丁分發(fā)工作。整個(gè)部署分服務(wù)器端和客戶端。服務(wù)器端配置不難，但需按照校園網(wǎng)內(nèi)安裝的微軟產(chǎn)品數(shù)量預(yù)留足夠的硬盤空間，此外還需做好補(bǔ)丁的審批策略。客戶端有兩種部署方式，一種是域環(huán)境下的組策略方式進(jìn)行統(tǒng)一自動(dòng)部署，另一種是非域環(huán)境下修改該機(jī)注冊(cè)表或組策略。

2.2.2 建立網(wǎng)絡(luò)防病毒體系

由于計(jì)算機(jī)病毒形式及傳播途徑的多樣化，校園網(wǎng)的防病毒工作再也不能是簡(jiǎn)單的、單臺(tái)計(jì)算機(jī)病毒的檢測(cè)及清除，而是需要建立多層次的、立體的網(wǎng)絡(luò)病毒防護(hù)體系。確保各終端計(jì)算機(jī)安裝網(wǎng)絡(luò)版防病毒軟件的客戶端，并及時(shí)更新病毒庫(kù)；制定詳細(xì)的反病毒策略，定期對(duì)網(wǎng)絡(luò)服務(wù)器及工作站進(jìn)行掃描監(jiān)測(cè)；通過(guò)管理端設(shè)置和維護(hù)全校整體病毒防護(hù)策略，并對(duì)網(wǎng)絡(luò)病毒情況進(jìn)行及時(shí)的監(jiān)控與報(bào)告。

在選擇網(wǎng)絡(luò)防病毒解決方案時(shí)可以考慮以下一些因素：

（1）擁有多種安裝平臺(tái)的客戶端。除了能提供最常見(jiàn)windows平臺(tái)，還能提供Mac、Linux等平臺(tái)，能提供32位及64位平臺(tái)。只有提供各種平臺(tái)的客戶端安裝程序，才能在校園網(wǎng)中做到真正意義上的全方位防護(hù)。

（2）擁有便捷的部署方式。針對(duì)校園內(nèi)各種不同用途的計(jì)算機(jī)，能給出多種簡(jiǎn)便的部署方式，并且安裝好后零配置，用戶無(wú)需關(guān)心后續(xù)操作。

（3）功能強(qiáng)大的管理控制端。管理控制端必須擁有強(qiáng)大的集中式管理功能，能發(fā)現(xiàn)所管理客戶端存在的安全風(fēng)險(xiǎn)，能自動(dòng)下發(fā)統(tǒng)一制定的安全策略，當(dāng)發(fā)現(xiàn)大規(guī)模病毒爆發(fā)，能及時(shí)給出警告。針對(duì)日常的管理，擁有詳細(xì)的報(bào)表及日志功能。

（4）技術(shù)上擁有領(lǐng)先功能。如智能型掃描引擎能在計(jì)算機(jī)空閑時(shí)工作；針對(duì)目前主流的虛擬環(huán)境，能防止在虛擬環(huán)境中同時(shí)掃描和更新。

（5）是否還附帶了其他便于管理的功能。有些產(chǎn)品除了提供防病毒、反間諜軟件、桌面防火墻、網(wǎng)絡(luò)準(zhǔn)入控制等功能，還提供了軟、硬件資產(chǎn)管理和軟件分發(fā)功能，該功能對(duì)學(xué)校來(lái)說(shuō)，能極大的幫助管理員減輕相應(yīng)的工作量。

3 結(jié)束語(yǔ)

校園網(wǎng)是一個(gè)復(fù)雜的綜合性系統(tǒng)工程，嚴(yán)格來(lái)說(shuō)，絕對(duì)安全的校園網(wǎng)是不存在的。而完善的網(wǎng)絡(luò)安全策略是校園網(wǎng)網(wǎng)絡(luò)安全的前提，從計(jì)算機(jī)技術(shù)方面對(duì)網(wǎng)絡(luò)設(shè)備以及服務(wù)器進(jìn)行合理的設(shè)置可以杜絕大多數(shù)的不安全因素，但是校園網(wǎng)內(nèi)部的安全事件時(shí)有發(fā)生，期望通過(guò)硬件或是軟件一勞永逸的解決校園網(wǎng)安全及管理問(wèn)題是不現(xiàn)實(shí)的。在目前，唯有綜合運(yùn)用防火墻、殺毒軟件等多項(xiàng)措施，互相配合，從管理上規(guī)范校園網(wǎng)的使用，才能實(shí)現(xiàn)一個(gè)安全的校園網(wǎng)絡(luò)環(huán)境，使其可靠、高效地為廣大師生服務(wù)。

參考文獻(xiàn)

[1]劉遠(yuǎn)生，辛一，計(jì)算機(jī)網(wǎng)絡(luò)安全（第2版）[J]，清華大學(xué)出版社，2009

[2]馬宜興，網(wǎng)絡(luò)安全與病毒防范（第5版）[J]，上海交通大學(xué)出版社，2011

[3]周世杰，陳偉，羅緒成，計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)[J]，高等教育出版社，2011

[4]黃波，劉洋洋，紀(jì)芳，信息網(wǎng)絡(luò)安全管理[J]，清華大學(xué)出版社，2013

[5]劉曉輝，網(wǎng)管天下：網(wǎng)絡(luò)安全管理實(shí)踐（第2版）[J]，電子工業(yè)出版社，2009